Какво представляват “електронните удостоверения за атрибути” (ЕАА)?

Най-важните факти накратко

• Определение: ЕАУ са правно защитени цифрови доказателства за характеристики (напр. възраст, професионална квалификация, шофьорска книжка), които са удостоверени от надеждни източници.
  
• Стратегическа полза: Те дават възможност за проверка на конкретни факти, без да се налага разкриване на цялата самоличност (избирателно разкриване – например “пълнолетен” вместо точната дата на раждане).
  
• Интеграция на портфейла EUDI: ЕЗП са основното съдържание на предстоящия европейски цифров портфейл.

• Оперативна съвместимост: ЕАА работят трансгранично в целия ЕС, както за публичните органи, така и за частните дружества.

_______________________________________________________________

С въвеждането на Регламента eIDAS 2.0 и портфейла EUDI (Европейски портфейл за цифрова самоличност) начинът, по който доказваме самоличността си , се променя. Преди това основният въпрос беше: “Кой сте вие?”. В бъдеще фокусът ще бъде върху: “Какво сте упълномощен да правите?”, “Каква квалификация имате?” или “Какво ви отличава?”.

Електронните атестации за атрибути (ЕАА) са цифровият отговор на тези въпроси. Те са преводът на нашите аналогови сертификати – от шофьорски книжки до дипломи – в цифровия свят.

Какво е атрибут?

Преди да говорим за технологията, нека изясним термина: атрибутът е свойство или характеристика, която описва лице или организация (субект). Можете да си го представите като парче от пъзел, което рисува цялостна картина на идентичността.

Атрибутите обхващат огромен набор от информация:

• Лични идентификационни данни (PID): Например вашето име, място на раждане или националност.
  
• Професионални характеристики: Академични звания, професионални звания или официални лицензи.
  
• Права и разрешителни: Специфични разрешения, като например право на подпис в компания или шофьорска книжка.

Скок в цифровия свят

В контекста на цифровата идентичност атрибутите се използват за безспорно доказване на характеристики онлайн , без да е необходимо физическото им присъствие. Прави се разграничение между две категории:

1. Статични атрибути: Информация, която (почти) никога не се променя, като например датата на раждане.
   
2. Динамични атрибути: Характеристики, които се променят, като например настоящият ви адрес на регистрация, настоящият ви професионален статус или възрастта ви.

За да се смятат тези атрибути за надеждни онлайн, те трябва да идват от сигурен източник – например от правителствени регистри, образователни институции или сертифицирани органи. Само това цифрово потвърждение превръща един обикновен атрибут в доказателство, защитено от фалшификации (EAA), което можете да използвате, за да се идентифицирате пред онлайн услуги.

Какво представляват електронните атестации на атрибути?

Поради това ЕЗП е цифров запис на данни, който потвърждава един или повече атрибути на дадено лице и е подписан или подпечатан с електронен подпис от квалифициран или неквалифициран доставчик на удостоверителни услуги (ДУУ).

Основната разлика е, че докато класическият електронен идентификатор често прехвърля целия запис на данни, ЕАА предоставя конкретна информация. Квалифицираното електронно удостоверение за атрибути (КЕАА) има най-висока доказателствена стойност, тъй като се издава от контролирани от държавата доставчици.

Трите вида атестации според eIDAS 2.0

Не всеки цифров сертификат има еднаква правна сила. За да се осигури оперативна съвместимост в цяла Европа, ЕС определя три специфични категории атрибутни сертификати. Те се различават основно по отношение на издателя и правната валидност:

1. Самостоятелно издадени атрибути (самостоятелно заявени): информация, която въвеждате сами (например адрес за доставка). Те са практични за формулярите, но нямат официална доказателствена стойност.
   
2. Електронни атестации (ЕАА): Те се издават от проверени източници. Те са цифрово подписани и са значително по-сигурни от конвенционалните документи. (EAA включват EAA и PuB-EAA).
   
3. Квалифицирани електронни атестации (QEAA): Най-високото ниво . Те се издават от контролирани от държавата квалифицирани доставчици на удостоверителни услуги (QTSP). QEAA е правно равностоен на хартиен документ с официален печат и се признава в целия ЕС.

Тип	Фокус и издател	Ниво на доверие и доказателствена стойност	Източник на данни	Практически пример
Q-EAA ( Квалифициран)	Сертифициран от държавата: Издават се от квалифицирани служби за доверително управление (QTSP).	Максимум: задължение за признаване в целия ЕС и максимална доказателствена стойност в съда.	Официални документи или официални данни.	Академични степени, медицински свидетелства или нотариални актове.
EAA ( неквалифициран)	Частен сектор: Издават се от дружества или организации.	Гъвкавост: правното приемане зависи от контекста (напр. общи условия).	Всеки източник (в зависимост от бизнес нуждите).	Дигитални идентификатори на служители, клиентски карти или билети за събития.
PuB-EAA ( Публичен)	Официално: директно от органи от публичния сектор.	Много висока: разчита на целостта на държавните регистри; признат в целия ЕС.	Официални държавни регистри (напр. регистри на населението).	Актове за раждане, удостоверения за пребиваване или шофьорски книжки.

Проверка на пазара: Колко широко ще бъде разпространено това доказателство?

Важно е да се разбере, че не всички видове EAA ще завладеят пазара едновременно. Въз основа на пътната карта на eIDAS 2.0 разпределението в портфейлите може да се оцени по следния начин:

• Q-EAA и PuB-EAA (много високи): Те ще бъдат в основата на портфейла на EUDI. Тъй като държавите членки са задължени да предоставят официални документи (като лични карти и шофьорски книжки) в цифров вид, всеки потребител на портфейла автоматично ще разполага с тези високо защитени атрибути.

• EAA (средно до нарастващо): Тук топката е в полето на частния сектор. Разпространението зависи от това колко бързо компаниите (като авиокомпании, фитнес вериги или работодатели) ще разпознаят добавената стойност и ще издадат свои собствени цифрови сертификати.

Стратегическо значение за компаниите и властите

Интеграцията на ЕАА е нещо повече от технически трик – тя е огромен лост за бизнес процесите. В зависимост от случая на използване и необходимата правна сила се използват различни видове ЕАА:

1. Безпроблемно включване в системата и KYC (Q-EAA)
   Силно регулирани сектори като банките или застрахователните компании могат да проверяват данните за самоличност и доказателствата (например доходи или професионални квалификации) в реално време. Вместо да преглеждат документите ръчно, системата незабавно валидира Q-EAA – това значително намалява процента на анулиране по време на onboarding.
   
2. Управление на цифрови разрешения (EAA и Q-EAA)
   В логистиката или промишлеността лицензите, принадлежността към компании или инструкциите за безопасност могат да се проверяват директно в портфейла EUDI.
   Пример: Фитнес студио предоставя отстъпки с обикновен EAA (идентификационен номер на служителя), а водач на опасни товари показва Q-EAA за своята шофьорска книжка.
   
3. Автоматизация на органите (PuB-EAA)
   Благодарение на принципа за еднократна употреба онлайн органите приемат PuB-EAA директно от други държавни регистри. Вече не е необходимо да се получава доказателство за местоживеене или пенсионен статус на хартия, което намалява до минимум бюрокрацията за гражданите и органите.
   
4. Защита на данните чрез “селективно разкриване”
   ИАА позволяват да се разкрива само това, което е абсолютнонеобходимо.
   Принцип: дадена система потвърждава само “над 18 години” за доказване на възраст, без да се налага да се предава точната дата на раждане или име.
   
5. Безгранична оперативна съвместимост
   Благодарение на общоевропейския стандарт атрибут, издаден в Германия (например сертификат за майстор на занаятчийски изделия), се признава незабавно в цифров вид в Испания или Полша. Това значително улеснява трансграничната мобилност на квалифицирана работна ръка и услуги.

Важно за частните потребители

• Нулево проследяване: За разлика от логванията в големите технологии, издателите не знаят къде и кога използвате атрибута си. Вашата цифрова следа остава невидима.

• Доброволност: Използването на портфейла и ИАА е напълно доброволно. Вие решавате кои данни да съхранявате в цифров вид и на кого да ги показвате.

Заключение: Защо EAAs са бъдещето на идентичността

ИАА са много повече от цифрови копия на хартиени документи. Те са ключът към общество, което ефективно използва данни. Благодарение на функции като селективно оповестяване потребителите запазват пълен суверенитет върху своите данни, а компаниите се възползват от автоматизирани, защитени от фалшифициране процеси.

Стратегическо предимство за вашата компания: Компаниите, които се позиционират като доверяващи се страни или издатели на ранен етап, значително намаляват усилията си за ръчна проверка и увеличават правната сигурност в цифровите канали.

Често задавани въпроси по темата

• Същото ли е ЕОА като цифров подпис? Не. Подписът потвърждава изявлението за намерение за даден документ. ИАА потвърждава характеристика или свойство на лицето.
  
• Кога ще бъдат въведени общовалидни EAA? С въвеждането на националните портфейли EUDI (от 2027/2028 г.) EAA ще се превърнат в стандарт за цифрови доказателства в ЕС.
  
• Могат ли дружествата сами да издават ЕОА? Да, дружествата могат да действат като “емитенти” за определени професионални или фирмени характеристики.
  
• По-сигурен ли е EAA от PDF сертификат?
  Определено. PDF е лесен за фалшифициране. EAA е криптографски запечатан. Всяка последваща промяна незабавно прави доказателството невалидно. Освен това валидността (напр. в случай на отнети лицензи) може да се провери в реално време.

• Каква е разликата между EAA и QEAA?
  ЕАА е електронно потвърждение на атрибут (напр. възраст, образование или разрешение), подписано от издател. Квалифицираното електронно удостоверяване на атрибути (QEAA – Qualified Electronic Attestation of Attributes) е специална форма, издадена от квалифициран доставчик на удостоверителни услуги в съответствие с Регламента за eIDAS. QEAA отговарят на по-строги правни и технически изисквания и следователно са по-задължителни и признати в цяла Европа.
  
• Може ли издателят да види къде показвам атрибута си?
  Не. Съвременните системи за EAA са проектирани по такъв начин, че издателят не може да проследи къде или кога представяте атрибута си. Проверката се извършва директно между вас и получателя. Това означава, че личните ви данни остават защитени и няма централизирано проследяване на вашето използване.
  
• Мога ли да отменя EAA?
  Да, издателят може да анулира ЕАО, например ако даден атрибут се промени или стане невалиден. Получателите могат да проверят статуса на отмяната по време на проверката, за да се уверят, че атрибутът все още е валиден.
  
• Ще заместят ли ЕАА класическия одит на KYC?
  EAA могат значително да опростят или частично да заменят проверката на KYC, особено ако произхождат от доверени или квалифицирани емитенти. В много случаи проверените атрибути могат да се използват директно, без да се налага отново да се преминава през целия процес на KYC. Дали обаче EAA заместват изцяло KYC, зависи от регулаторните изисквания и съответния случай на употреба.

• Ще се съхраняват ли данните ми централно?
  Не. контролът е във вашите ръце. ЕЗП са надеждно криптирани в личния ви портфейл EUDI на вашия смартфон, а не в централизирана правителствена облачна база данни.